linux伺服器中了挖礦病毒
『壹』 求助伺服器被挖礦程序入侵,如何排查
新客戶於最近向我們SINE安全公司咨詢,說他的伺服器經常卡的網站無法打開,遠程連接
伺服器的慢的要命,有時候PING值都達到300-500之間,還經常掉包,聽客戶這么一說,一般
會判斷為受到了CC+DDOS混合流量攻擊,再具體一問,說是機房那面沒有受到流量攻擊,這
就有點奇怪了,不是流量攻擊,還導致伺服器卡,網站無法打開,這是什麼攻擊?為了解決客
戶伺服器卡的問題,我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。
挖礦木馬還設計了挖礦進程如果被客戶強制停止後,會自動啟動繼續挖礦,達到不間斷的挖礦,
仔細檢查發現是通過設置了每個小時執行任務計劃,遠程下載shell挖礦木馬,然後執行,檢查
當前進程是否存在,不存在就啟動挖礦木馬,進行挖礦。
對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據,以及感染蠕蟲的病
毒,如果數據被加密那損失大了,客戶是做平台的,裡面的客戶數據很重要,找出挖礦木馬後,
客戶需要知道伺服器到底是如何被攻擊的? 被上傳挖礦木馬的? 防止後期再出現這樣的攻擊
狀況。
通過我們安全工程師的安全檢測與分析,發現該伺服器使用的是apache tomcat環境,平台的開
發架構是JSP+oracle資料庫,apache tomcat使用的是2016年的版本,導致該apache存在嚴重
的遠程執行命令漏洞,入侵者可以通過該漏洞直接入侵伺服器,拿到伺服器的管理員許可權,
SINE安全工程師立即對apache 漏洞進行修復,並清除木馬,至此問題得以解決,客戶伺服器
一切穩定運行,網站打開正常。
『貳』 .如果一台linux伺服器中了botnet病毒,該如何排查
1、病毒木馬排查。
1.1、使用netstat查看網路連接,分析是否有可疑發送行為,如有則停止。
在伺服器上發現一個大寫的CRONTAB命令,然後進行命令清理及計劃任務排查。
(linux常見木馬,清理命令chattr -i /usr/bin/.sshd; rm -f /usr/bin/.sshd; chattr -i /usr/bin/.swhd; rm -f /usr/bin/.swhd; rm -f -r /usr/bin/bsd-port; cp /usr/bin/dpkgd/ps /bin/ps; cp /usr/bin/dpkgd/netstat /bin/netstat; cp /usr/bin/dpkgd/lsof /usr/sbin/lsof; cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh; rm -r -f /usr/bin/bsd-port;find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9;)
1.2、使用殺毒軟體進行病毒查殺。
2、伺服器漏洞排查並修復
2.1、查看伺服器賬號是否有異常,如有則停止刪除掉。
2.2、查看伺服器是否有異地登錄情況,如有則修改密碼為強密碼(字每+數字+特殊符號)大小寫,10位及以上。
2.3、查看Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic後台密碼,提高密碼強度(字每+數字+特殊符號)大小寫,10位及以上。
2.4、查看WEB應用是否有漏洞,如struts, ElasticSearch等,如有則請升級。
2.5、查看MySQL、SQLServer、FTP、WEB管理後台等其它有設置密碼的地方,提高密碼強度(字每+數字+特殊符號)大小寫,10位及以上。
2.6、查看Redis無密碼可遠程寫入文件漏洞,檢查/root/.ssh/下黑客創建的SSH登錄密鑰文件,刪除掉,修改Redis為有密碼訪問並使用強密碼,不需要公網訪問最好bind 127.0.0.1本地訪問。
2.7、如果有安裝第三方軟體,請按官網指引進行修復。
『叄』 linux系統中病毒怎麼辦
1、最簡單有效的方法就是重裝
2、要查的話就是找到病毒文件然後刪除;中毒之後一般機器cpu、內存使用率會比較高,機器向外發包等異常情況,排查方法簡單介紹下:
#top命令找到cpu使用率最高的進程,一般病毒文件命名都比較亂
#可以用ps aux 找到病毒文件位置
#rm -f 命令刪除病毒文件
#檢查計劃任務、開機啟動項和病毒文件目錄有無其他可以文件等
3、由於即使刪除病毒文件不排除有潛伏病毒,所以最好是把機器備份數據之後重裝一下。
『肆』 挖礦病毒
自從比特幣火起來以後,運維和安全同學就經常受到挖礦病毒的騷擾,如果有人說機器cpu被莫名其妙的程序佔用百分之八十以上,大概率是中了挖礦病毒。
說說挖礦病毒的幾個特點:
一、cpu佔用高,就是文中一開始所說的,因為挖礦病毒的目的就是為了讓機器不停的計算來獲利,所以cpu利用率都會很高。
二、進程名非常奇怪,或者隱藏進程名。發現機器異常以後,使用top命令查看,情況好的能看到進程名,名字命名奇怪,我見過的linux上中毒的是以. exe命名的程序。對於隱藏進程名這種情況,找起來就更加費事了,需要查看具備linux相關的系統知識。
三、殺死後復活,找到進程之後,用kill命令發現很快就會復活,挖礦病毒一般都有守護進程,要殺死守護進程才行。
四、內網環境下,一台機器被感染,傳播迅速,很快會感染到其他機器。
挖礦病毒的防禦
挖礦病毒最好的防禦重在平時安全規范,內網機器不要私自將服務開放到公司,需要走公司的統一介面,統一介面在請求進入到內網之前,會有安全措施,是公司入口的第一道安全門。還有就是公司內網做好隔離,主要是防止一個環境感染病毒,擴散到全網。
對於已經感染的情況,可以通過dns劫持病毒訪問的域名,公網出口過濾訪問的地址,這些手段是防止病毒擴大的手段,對於已經感染的機器,只能通過開始講的幾種方法找到並殺死病毒了。
『伍』 挖礦病毒怎麼排查
登錄系統查看任務管理器,查看佔用內存較大且無法關閉的進程。進程上點擊滑鼠右鍵,打開文件位置(先要在文件夾選項中選擇顯示隱藏文件及操作系文件)。此時你可能會看到有一個Systmss.exe進程和模仿操作系統的svchost.exe進程這里還可以看到一個2.bat文件,右鍵編輯打開這個文件查看,可查看到惡意進程與哪個挖礦組織通信。
通過查看系統操作日誌可分析出病毒的來源、啟動時間等信息,一般原因可能是未關閉3389埠且使用了弱密碼導致黑客遠程登錄上次病毒。
根除病毒:將病毒可執行文件Systmss.exe重命名為Systmss.exe1使病毒無法執行,此時可從任務管理器停止進程。打開注冊表編輯器刪除HKEY_LOCAL_整個目錄。
如果是Linux系統請參考:網頁鏈接
『陸』 僵屍病毒和挖礦病毒的區別
僵屍病毒,BlueHero是一種會自動傳染的蠕蟲病毒,它像WannaCry一樣從一台機器自動傳染到另一台機器,從一個內網感染到另一個內網。基於傳播方法的特點,遭受感染的大多是網站伺服器以及其所在內網。
挖礦病毒由騰訊御見威脅情報最早報告。近一年來病毒頻繁升級,不斷增加攻擊手法和躲避安全查殺
DDG挖礦病毒(國外稱其為Linux.Lady)是一款在Linux系統下運行的惡意挖礦病毒,前期其主要通過ssh爆破,redis未授權訪問漏洞等方式進行傳播,近年來其更新非常頻繁,已經出現多個版本,本次捕獲到的是4004版本
『柒』 Linux系統被Carbon挖礦病毒入侵,殺掉之後過一段時間又起來了,有誰遇到過這種情況啊
這種病毒騰訊安全提到過
可以去下載安裝一個騰訊御點
打開之後,使用裡面的病毒查殺功能,直接就可以查殺這種電腦病毒了
『捌』 linux exit回收資源 卡死
這個時候只能是長按電源鍵強制關機了。
從三個方面排查:1、用top命令查看cpu使用率和系統負載。2、用free-g查看系統內存使用率。3、查看/var/log/message是否有異常log,比如硬體故障。用top命令查看系統進程,是否有異常進程,是否中毒或被入侵,比如中了挖礦病毒。
『玖』 解決挖礦病毒的經歷
線上一台伺服器,CPU高達90%以上,經過top 分析出進程kdevtmpfsi
kill -9 殺死進程無果,很快就會自動恢復
排查步驟:
結果:
病毒被植入到了線上運行的某一docker容器內。
如何先確定是哪一容器再去刪除搜索結果中的病毒文件?
我這台機器跑的容器不多,可以用復制文件的方法,先 docker cp 一個文件到容器中。再去find 這個文件
如果結果還是在剛才搜索病毒的那個文件目錄下(/var/lib/docker/devicemapper/mnt/xxxxx )就可以確定容器了。結果是php的容器出現了問題。
知道是具體是什麼容器出現了問題,最快的辦法就是先重啟一個新的容器。
我這邊是nginx +php 兩種服務容器,所以先啟動了一個新php容器,修改nginx中配置文件代理後端php伺服器埠為新容器的IP地址。(nginx容器已經映射目錄到宿主機)
修改PHP後端IP地址
cd 宿主機映射nginx的配置文件位置目錄
測試線上環境正常後,刪除原來的php容器。(這是自然也==直接刪除了病毒文件)
執行 TOP命令,CPU佔用正常。
平時防火牆和sellinux都關閉的話,伺服器不要暴漏太多無用埠,出現問題應該最新通過進程名去查找文件的原始位置去分析問題,遇到挖礦病毒也應該多注意/etc/init.d下和cron計劃任務有無異常。
後期也可以寫個cron或者腳本